Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit unzureichendem Logging und Monitoring. Um effektiv auf Sicherheitsvorfälle reagieren zu können und andauernde oder wiederholte Angriffe zu vermeiden, ist es essentiell ein entsprechendes Logging und Monitoring zu etablieren. Wird dies nur unzureichend umgesetzt, dann können Angreifer in […]
Webapplikationen
Gravierende Datenpannen bei zahlreichen Corona-Testzentren
In dieser Woche widmen wir uns im Blog der „Datenpanne“ und beginnen hier mit einem Themenbereich, der uns alle auch im neuen Jahr 2022 noch weiter beschäftigen wird: Der Umgang mit Corona-Testergebnissen in der Pandemie. Ohne Frage sind Corona-Testzentren ein fundamentales Instrument bei der Bekämpfung der COVID-19-Pandemie. Vor der ausreichenden Verfügbarkeit von Impfstoff zur Immunisierung […]
OWASP Top 10 – A8 – Unsichere Deserialisierung
Dieser Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit dem Thema der unsicheren Deserialisierung. In der Informatik wird unter Deserialisierung die Umwandlung einer persistierbaren Byte-Folge (Zusammenstellung von Nullen und Einsen) in den ursprünglichen Zustand eines programmierbaren Objektes im Arbeitsspeicher verstanden. Persistierbare Daten sind Daten in einem […]
OWASP Top 10 – A7 – Cross-Site Scripting (XSS)
In diesem Beitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, wird das sogenannte Cross-Site-Scripting (XSS) näher erläutert. XSS bezeichnet eine Angriffsmethode, bei der eine Webapplikation Benutzereingaben wiedergibt, ohne diese zu überprüfen. Dadurch kann ein Angreifer Schadcode an den Browser eines Benutzers übermitteln, wobei es sich um JavaScript-Code handelt. JavaScript […]
OWASP Top 10 – A6 – Sicherheitsrelevante Fehlkonfiguration
Dieser Blogbeitrag aus unserer Reihe zur OWASP Top 10, den zehn häufigsten Sicherheitslücken in Webapplikationen, behandelt sicherheitsrelevante Fehlkonfigurationen. Sicherheitsrelevante Fehlkonfigurationen umfassen einen großen Bereich an Sicherheitslücken, die sowohl bei der Installation und Konfiguration als auch bei Administration und Wartung einer Webapplikation entstehen können. Dabei können alle Ebenen der Anwendung inklusive der zugrundeliegenden Web- und Datenbankserver […]
OWASP Top 10 – die 10 kritischsten Sicherheitsrisiken für Webapplikationen
Unsichere Software gefährdet die zunehmend komplexer und vernetzter werdende digitale Infrastruktur. Vor allem auch bei den kritischen Infrastrukturen (KRITIS), wie sie im Finanz-, Gesundheits-, Verteidigungs-, Energie-Sektor etc. vorliegen, steigt der zu betreibende Aufwand bezogen auf die Anwendungssicherheit immer weiter an. Es ist dabei zwingend notwendig bereits im Entwicklungsprozess von Webapplikationen die häufigsten Schwachstellen schnell und […]
OWASP Internet of Things Project: Die 10 häufigsten Schwachstellen im Internet of Things
Das OWASP-Projekt ist vor allem bekannt für seine regelmäßig aktualisierten Top Ten der häufigsten Schwachstellen in Webapplikationen. Mittlerweile gibt es jedoch auch ein Team, das sich mit der Zusammenstellung einer Liste der häufigsten Schwachstellen im Internet of Things (IoT) beschäftigt. Von Glühbirnen, über die Hausautomatisierung bis hin zu Connected Cars haben diese smarten Produkte eins […]
OWASP Top Ten: A9 – Nutzung von Komponenten mit bekannten Schwachstellen
Dieser Beitrag aus unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, beschäftigt sich mit Platz 9: Nutzung von Komponenten mit bekannten Schwachstellen. Webapplikationen wie Onlineshops, Portale oder Content Management Systeme haben mittlerweile einen großen Funktionsumfang und damit eine hohe Komplexität. In der Entwicklung wird daher auf fertige Komponenten zurückgegriffen, die allenfalls noch […]
OWASP Top Ten: A8 – Cross-Site-Request-Forgery
In diesem Beitrag aus unserer OWASP Top Ten Reihe, welche die 10 größten Sicherheitsrisiken für Webapplikationen sowie entsprechende Gegenmaßnahmen näher erläutert, geht es um sogenannte Cross-Site-Request-Forgery-Angriffe (kurz CSRF). Ein Cross-Site-Request-Forgery (zu deutsch seitenübergreifende Aufrufmanipulation) führt eine – meist sicherheitskritische – Funktion einer Webanwendung im Kontext eines gerade angemeldeten Nutzers aus. Sofern wir CSRF-Schwachstellen im Rahmen […]
OWASP Top Ten: A6 – Verlust der Vertraulichkeit sensibler Daten
Dieser Blogbeitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, erläutert die Gefahr der Preisgabe von sensiblen Daten und wie Sie Ihre Anwendung sowie deren Benutzer davor schützen können. Bei sensiblen Daten handelt es sich beispielsweise um Gesundheits-, Kreditkarten- oder auch Zugangsdaten, deren Vertraulichkeit sowohl bei der Speicherung als auch bei […]
OWASP Top Ten: A4 – Unsichere direkte Objektreferenzen
In diesem Beitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, erklären wir das Gefahrenpotential von sogenannten direkten Objektreferenzen (engl. „Insecure direct object references“). Dabei handelt es sich um eine simple, häufig übersehene Sicherheitslücke mit großen Auswirkungen. Sie kann überall dort auftreten, wo verschiedene Benutzer mit verschiedenen horizontalen Berechtigungsstufen auf die […]
OWASP Top Ten: A3 – Cross-Site Scripting (XSS)
In diesem Beitrag zu unserer Reihe zur OWASP Top Ten, den häufigsten Sicherheitslücken in Webapplikationen, wird das sogenannte Cross-Site-Scripting (kurz XSS) näher erläutert. XSS bezeichnet eine Angriffsmethode, bei der eine Webapplikation Benutzereingaben wiedergibt, ohne diese zu überprüfen. Dadurch kann ein Angreifer Schadcode an den Browser eines Benutzers übermitteln, wobei es sich um JavaScript-Code handelt. JavaScript […]
Sicherheit im World Wide Web: Die OWASP Top 10
Webapplikationen sind allgegenwärtig: Online-Banking und -Shopping, soziale Netzwerke und Mails, aber auch spezielle Anwendungen wie Vereinsverwaltung, Foren oder kollaborative Dokumentenbearbeitung finden hauptsächlich im Webbrowser statt. Wie jede andere Software müssen auch Webapplikationen programmiert werden. Sie werden danach je nach genutzer Architektur ganz oder teilweise auf dem Webserver, teilweise auf dem Client (Browser) ausgeführt. Programmierfehler können […]